dom-xss研究系列-027
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
前言
本文是对Youssef发现的一个基于DOM类型的XSS进行的一个深度分析,
第一个漏洞允许恶意用户通过postMessage方法从facebook.com域发送跨源信息。存在漏洞的接口会在请求参数中接受用户控制的内容,并以所提供的数据构建一个对象,与postMessage一起发送至opener窗口。然后,又发现了另一个bug,并与之前的bug联系起来,这个bug是一个脚本通过Eventlistener,根据收到的消息数据,构建并提交一个表单(此过程存在漏洞)。
注意:看本文之前需要复习一下第十三讲(dom-xss研究系列-13)
正文
原文始发于微信公众号(迪哥讲事):dom-xss研究系列-027
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论